Sikerült átverni a Samsung Galaxy S10 ujjlenyomat-olvasóját 3D nyomtatott ujjlenyomattal

Az illető leszedte az ujjlenyomatát egy üvegpalackról, Photoshoppal feldolgozta, 3DS Max modellezőszoftverrel 3D-sítette, majd az eredményt 3D nyomtatóval kinyomtatta. A kisebb igazítások mellett, a harmadik nyomtatásra sikerült olyan nyomtatott ujjlenyomatot készítenie, amivel át tudta verni az S10 ultrahangos szkennerét. Részletek, videó itt.

Hozzászólások

:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D:D

Ezert nem hasznalunk biometrikus azonositot jelszokent. Ha kompromittalodik akkor eleg nehez cserelni...

A korábbi, még nem ultrahangos szenzort is át lehet így verni?

Anno az iPhone ujjlenyomatolvasója kapcsán volt pár részletes videó, nekem úgy rémlik már ott is kb. ez volt a megoldás, nem változott a technológia ilyen értelemben, csak annyi történt, hogy így már kijelző mögé is rakható az érzékelő, nem ettől átverhető.

Kis kiegészítés: az egy kb. 100e és 150e Ft közötti 3D nyomtató, még csak nem is atom drága, és a szoftvere fekete-fehér bitmap-eket eszik meg, nem 3D modellt, ezt gyakorlatilag egy scanner-elt képből "3D-sítés" nélkül is esélyes, hogy el lehet érni, az a kérdés, hogy az ultrahang az egy 2D-s képet képez le magának, vagy valamennyire mélységig tapogat-e (3D-s kell legyen a "műbőr", vagy csak egy 2D-s rajz x tized milliméter vastag ismétlése).

Az a durva ebben, hogy néhány éve ez max filmekben volt lehetséges és ott is eléggé fantázia... Most meg már hétköznapi ember számára is elérhető.

Gyanitom igen. Itt nem az a hir, hogy az ujjlenyomatleolvaso atverheto, meg hogy altalaban az ujjlenyomat egy eleg rossz jelszo, hanem, hogy valaki vegigcsinalta az egeszet elejetol a vegeig. Es hat ha be akarsz jutni a hirekbe muszaj valami aktualisnak lenni benne, gondolom ezert kellett az S10-nek elvereznie. Ettol meg az ujjlenyomat rossz jelszo minden telefonon.

Egy pár éve ez azért már létezik, iPhone-nál kapott nagyobb publicitást, de előtte még a MythBusters is megcsinálta amennyire emlékszem sikeresen, tárgyról levéve, a kémiai verzióját, semmi gép, scannelés, miegymás nélkül. Az ujjlenyomatról elég régóta tudni, hogy semmire nem elég önmagában, az iPhone-nál vérdíj volt rá kiírva, kb. 5 perccel a kereskedelme indulása után el is vitték, de a díj előre ott volt, mert lehetett tudni a technológia gyengepontjait.

Nem tul eletszeru abuzalas, valljuk be :)

Hány milliárdos van szerinted a bolygón, akinek nem szóltak még arról, hogy az ujja nem a legjobb kulcs? Ne a céges policy / admin által nagy eséllyel tájékoztatott középvezetőre gondolj, hanem a kkv szektoros milliomosokra, akiknek azért ott van a telefonjukban egy-két dolog.

Nem az átlag telefontolvajról van szó, az nagyívbe az adatokra, itt kisméretben ipari kémkedésről, szemétkedésről van szó, ami így elérhetővé vált. Ismerek több olyan témakört is, ahol pont mercivel járó, gucci öltönyös emberkék rohangálnak, rühellik egymást, mert sok konkurensükkel vagy kibabráltak alattomos módon, vagy együtt indultak, egy cégben, és összekaptak, ott simán megjátsszák ezt, főleg ha van egy ügyes ismerősük (pl. szervizes).

Nem feltétlen, sok esetben "titkolózásként" csak a telefonon vannak meg a cég bizonyos számai, nyilvántartási rendszerekből havonta törölnek majdnem minden adatot, van egy rakás telefonszám, ami csak a főnöknek van meg, amit nem sync-el a cloud-ba, mert arról már szóltak neki, hogy hát az "feltörhető", ha "marcsa123" a jelszava, esetleg a gyerekeinek neve egymás után beírva.

Ennel az eshetosegnel viszont meg igy is nagyobb biztonsagot ad az ujjlenyomat.
Maskent: a gagyi huawei telefonom 5 hibas probalkozas utan koszoni es keri a factory resetet. Ha ez mas keszuleken is elerheto, nem csak az EMUI sajatja, akkor kb. elegendo vedelem az esetek 90%-aban. Nalam jelszo||TFA+ujjlenyomat ved mindent, amit lehet/erdemes, szerintem ez tobb, mint eleg.

Mégis mivel nehezebb a samsungos f0s ujjlenyomat-olvasót átverni, mint az Apple f0stos ujjlenyomat-olvasóját?

Mármint szerinted, és persze tévedsz. Azt már réges-rég megcsinálták. Semmivel se nehezebb, miért lenne? Ugyanez a módszer azon is ugyanígy működik.
https://blog.lookout.com/why-i-hacked-apples-touchid-and-still-think-it…

A legszebb az egészben, hogy maga a telefon is tele van ujjlenyomatokkal, jó eséllyel a hátuljáról is le lehetne venni egy használhatót, ha pl. ellopják valakitől.

"De ha megis, akkor se ennyire konnyen."
Hát igen ez elég könnyen ment. Csak egy ujjlenyomat kellett hozzá, egy photoshop, néhány óra modellezés, eg, pár száz ezres 3D nyomtató, pár óra nyomtatás, 3 újra próbálás. Soha semmi ne menjen nehezebben. :D

return signResponse.getSignForUser("zeletrik").map(SignResolvable::getSign).orElse(StringUtils.EMPTY);

Nem hiszem, hogy bármivel nehezebb lenne átverni (hacsak nem elméletileg), ha bárki által hozzáférhető eszközök használatával ugyanúgy megszívatható.
FYKI Amúgy újabban a legfrissebb Macbookokba is raknak ujjlenyomat-olvasót.
I'm Feeling Lucky: https://www.forbes.com/sites/gordonkelly/2019/02/05/apple-iphone-11-xs-…

A biztonsághoz hozzátartozik az is, hogy hány sikertelen próbálkozás után tiltja le az ujjlenyomat-olvasóját, amit azután csak jelszóval lehet újra aktiválni - mint ahogy azt a fújócskafosapple csinálja.
Kíváncsi lennék, hogy a stock Samsung stock Androiddal miért hagyja a kilenc ujjamat scannelni majd enged be a tizedik - egyben egyetlen tárolt - ujjlenyomatommal pár másodperc késleltetés után?
Ez azért nagyságrendekkel egyszerűsíti az ujjlenyomat-olvasó átverését, egész konkrétan csak idő kérdése lesz.

Brute force kivédése egy limittel és várakoztatással: órák.

Kiszedni az emberek fejéből a tévképzetet, hogy az ujjlenyomat biztonságos: évek. Még akkor is, hogyha lesz pár iszonyat megosztást elérő cikk róla.

Kérdés az, hogy a Samsung vagy az Apple tett többet ennek a tévképzetnek a megerősítéséért.

Kiszedni az emberek fejéből a tévképzetet, hogy az ujjlenyomat biztonságos: évek. Még akkor is, hogyha lesz pár iszonyat megosztást elérő cikk róla.

Igen, mert ez nem ennyire fekete vagy fehér.

Egy telfon esetében mihez viszonyíthatjuk?
feloldó mintához? pin kódhoz?

Mindekettőnél biztonságosabb, és kényelmesebb is.

Ahogy már más is említette eleve fizikai hozzáférés kell a kihasználásához. Olyankor viszont a gyakorlatban már semmi nem segít.

A másik probléma, az valós: hogy sokan jelszó helyett használják, amikor valójában csak egy speciális (valódi, élő személyhez kapcsolódó, egyedi) felhasználónévként szolgál.

Tehát, egyéb (komolyabb) felhasználás esetén, ha mellé teszel egy OTP tokent (vagy akár csak egy hagyományos jelszót) , akkor várhatóan évtizedekig nem lesz ennél biztonságosabb és kényelmesebb felhasználó azonosítás.

szerintem.
--
zrubi.hu

Ebben most az a hirertek, hogy samsung, vagy s10 vagy 3d nyomtatas?

Mert ujjlenyomat->nyak->faragaszto mar vagy 2 eve sikerult itten.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....